空手套白狼 —— YIEDL 被黑分析
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
2024年4月24日,慢雾安全团队报告称,BSC链上的YIEDL项目遭到攻击,攻击者获利约30万美元。攻击者利用redeem函数未验证用户输入的外部参数,实现未授权资产转移。慢雾安全团队建议项目方在开发中实施严格的参数验证机制,避免类似事件再次发生。
🎯
关键要点
-
2024年4月24日,慢雾安全团队报告BSC链上的YIEDL项目遭到攻击,攻击者获利约30万美元。
-
攻击者利用redeem函数未验证用户输入的外部参数,实现未授权资产转移。
-
攻击者地址为0x322696471792440499b1979e0a440491e870667a,被攻击合约地址为0x4edda16ab4f4cc46b160abc42763ba63885862a4。
-
攻击者通过恶意构造外部参数,触发合约中的资产兑换操作,最终将WBNB-ADA Token兑换为BNB。
-
慢雾安全团队建议项目方实施严格的参数验证机制,确保外部调用符合预期行为,并进行彻底的安全审计。
➡️
